搜索结果
查询Tags标签: 审计,共有 73条记录-
java代码审计的点
java代码审计的点 组件的审计 首先看pom.xml查看第三方组件和第三方组件的版本 常用的第三方组件:第三方组件 漏洞类型 组件漏洞版本log4j2 远程代码执行 Apache log4j2 >= 2.0, <= 2.14.1Fastjson 反序列化远程代码执行 Fastjson <= 1.2.80iBatis(MyBatis) SQL…
2022/9/2 1:25:35 人评论 次浏览 -
苹果的app上架被黑了怎么办?
1、您的应用程序必须使用正式的图像。正式的文字,在上板时不要出现测试类图像,例如一个母亲婴儿商店,你上传了一个不相关的图片。或者用测试字眼写的图像,都不能。文本中也不能出现测试类的单词,如测试等。如果您以前在后台上传过测试字眼的产品,请先删除它并重新登…
2022/9/1 23:23:20 人评论 次浏览 -
代码审计 企业级Web代码安全架构 可惜php 没那么熟了,正好从逆向角度复习,开始看代码审计
使用phpstudy 这么多漏洞。。。常见的代码审计思路: 就是寻找功能边界吧,做好边界,特别是敏感边界(内外交互)的审查00000000000000000 不相信 任何输入,特别是表达能力强的输入,比如sql,反序列化,缓存对应的指令,浏览器执行的js跨站脚本攻击 csrf 跨站请问伪造…
2022/8/24 1:22:57 人评论 次浏览 -
mysql开启审计功能
数据库版本:mysql5.7 (linux系统) 数据库日志审计功能插件:server_audit.so (下载mariadb-5.5.68-linux-x86_64.tar.gz,解压后获取mariadb-5.5.68-linux-x86_64/lib/plugin/server_audit.so) 部署方法: 1.登录MySQL,执行以下命令获取MySQL的plugin目录: SHOW GL…
2022/7/28 2:22:48 人评论 次浏览 -
linux系统使用审计audit查看系统安全情况。
https://blog.csdn.net/weixin_42680139/article/details/116578775?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1-116578775-blog-113629205.pc_relevant_multi_platform_whitelistv2&de…
2022/7/9 5:21:50 人评论 次浏览 -
CSCMS代码审计
很久之前审的了。 文章首发于奇安信攻防社区 https://forum.butian.net/share/1626 0x00 前言 CSCMS是一款强大的多功能内容管理系统,采用php5+mysql进行开发,运用OOP(面向对象)方式进行框架搭建。CSCMS用CodeIgniter框架作为内核开发,基于MVC模式,使程序运行的速度…
2022/6/19 23:21:33 人评论 次浏览 -
网络攻击与防御期末考试真题
1.1OWAP反序列化漏洞的原理和防御 1.2什么是代码审计,渗透测试和代码审计的异同点? 1.3简述AKE四步握手过程 1.4尽可能详细地说出看保护机制Stack canary的工作原理 2.1 命令执行漏洞<?php$target = $_GET[ip];$cmd = "ping -c 3 $target";echo $cmd;syst…
2022/5/27 23:22:41 人评论 次浏览 -
PHP代码审计之PHP危险函数总结
代码执行相关函数 eval() #传入的参数必须为PHP代码,需要以分号结尾。 #执行多行代码 eval(phpinfo()); eval($_POST[‘cmd’]);assert() #执行单行代码 与eval类似,字符串被 assert() 当做 PHP 代码来执行 assert($_POST[‘CMD]);preg_replace mixed preg_replace ( mi…
2022/4/5 17:20:18 人评论 次浏览 -
基于FreeSql和AutoMapper实现可读性较高的审计追踪
基础概念 系统内对数据的操作通过数据库实体保存到库,通过数据库实体我们可以获取到变化之前的数据和变化之后的数据,但是基于数据库实体记录审计追踪有很大的弊病。 数据库实体的结构是基于业务需要设计的,一般很难满足审计追踪的观赏性方面的需求,要么是多出很多用户…
2022/3/25 19:22:52 人评论 次浏览 -
代码审计 PHP代码理解.
PHP 是可以创建动态交互性站点的强有力的服务器端的脚本语言。PHP可以做很多东西,特别是web网站开发,也可以使用的非常广泛。能够快速,灵活,实用使得PHP语言可以更好的开发任何网站。PHP 是一种 HTML 嵌入式的脚本语言。php文件以.php结尾。PHP语言的很多语法来自 C,…
2022/3/21 18:00:37 人评论 次浏览 -
PHP代码审计之SQL注入
代码审计之SQL注入 SQL注入攻击(SQLInjection),是攻击者在表单中提交精心构造的sql语句,改变原来的sql语句,如果web程序没有对提交的数据经过检查,那么就会造成sql注入攻击。 SQL注入攻击的一般步骤: 1、攻击者访问有SQL注入漏洞的网站,寻找注入点 2、攻击者构造注入…
2022/3/10 19:14:56 人评论 次浏览 -
JAVA审计-命令执行
前言 审计中最直接shell的还是rce,本篇记录下java中命令执行。 0x01 Runtime执行 public class LocalRuntime extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {String cm…
2022/3/3 1:45:04 人评论 次浏览 -
JAVA审计-文件操作
前言 上篇主要是关于文件上传的操作,这一篇记录一下其他文件操作 0x01 任意文件下载/读取 @WebServlet("/FileRead") public class fileRead extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws S…
2022/3/3 1:45:03 人评论 次浏览 -
Mybatis在Java代码审计中的审计方法及修复方法
Java代码审计系列课程【共58课时】_Web安全课程-51CTO学堂Java代码审计系列课程,Web安全,学会改课程将更深刻的了解常见漏洞原理,审计发现代码中漏洞,开发人员不再编写“漏洞”,51CTO学堂为您提供全面的视频课程和专项解答,it人充电,就上51CTO学堂https://edu.51cto.com…
2022/2/27 17:22:26 人评论 次浏览 -
JAVA审计-SSRF
前言 记录一下java中ssrf的审计。 0x01 关于SSRF 原理 服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 大部分的web服务器架构中,web服务器自身都可以访问互联网和服务器所在的内网。 作用 对外网服务器所在的内网、本地进行端口扫描,获取一…
2022/2/19 9:12:42 人评论 次浏览
